Webshell是可以在web服務器上執行的後臺腳本或命令執行環境。
黑客通過入侵網站上傳webshell後獲得對服務器的訪問權,如執行系統命令、竊取用戶數據、刪除網頁、修改主頁等。,這是不言而喻的。
Webshell攻擊有什麽特點?
1
連續遠程訪問
入侵者可以利用webshell長時間控制網站服務器。如果攻擊者自己修復漏洞,確保沒有其他人會乘虛而入,攻擊者就可以隨時低調控制服務器。壹些流行的webshell使用密碼認證和其他技術來確保只有上傳webshell的攻擊者才能訪問它。
2
權限提升
如果服務器沒有配置錯誤,webshell將在web服務器的用戶權限下運行,這是有限制的。通過使用webshell,攻擊者可以試圖利用系統上的本地漏洞來升級他們的權限,例如找到敏感的配置文件,通過內核漏洞提升權限,通過使用低權限用戶目錄中Root用戶可以調用的腳本來提升權限,以及任務規劃。
三
隱蔽性強
壹些惡意網頁腳本可以嵌套在正常網頁中,不容易被查殺。Webshell也可以穿過服務器的防火墻。因為與受控服務器或遠程主機交互的數據是通過端口80傳輸的,所以不會被防火墻攔截。在不記錄流量的情況下,webshell會通過post包發送,不會記錄在系統日誌中,只會在web日誌中記錄壹些數據提交記錄。
獲取webshell的常用方法
1
直接上傳獲取webshell。
由於上傳文件過濾不嚴,用戶可以將webshell直接上傳到網站的任意可寫目錄,從而獲得網站的管理員控制權限。
2
添加修改上傳類型
目前很多腳本上傳模塊不僅允許上傳合法的文件類型,大部分系統都允許添加上傳類型。
三
使用後臺管理功能寫入webshell
進入後臺後,還可以通過修改相關文件寫入webshell。
四
使用後臺數據庫備份和恢復來獲得
它主要是在後臺使用access數據庫的“備份數據庫”或“恢復數據庫”功能,不過濾“備份數據庫路徑”等變量,導致將任意文件的後綴改為asp,從而獲得webshell。
五
Php+mysql系統
後臺需要Mysql數據查詢功能,入侵者可以用它查詢輸出php文件。因為所有的數據都存儲在mysql中,所以我們可以通過正常的方式將我們的WebShell代碼插入到mysql中,並使用SELECT...in TO OUTFILE語句。
清除webshell網站後門的方法
後門文件可以直接刪除。找到後門文件直接刪除。
不能直接刪除後門文件,只能刪除文件內容中的特洛伊代碼進行清理。
1,文件名是index.asp和index.php。這類SEO文件是自動生成的,可以直接刪除。如果要徹底移除後門,需要找到生成這個文件的源文件。
2.文件內容只有壹行,或者少量代碼,稱為“壹字後門”。
3.文件內容中有密碼或用戶密碼關鍵字。
4.上傳組件目錄或上傳目錄中的其他文件可以直接刪除。如ewEditor、Editor、FCKeditor、eWebEditor、UploadFiles、uploads等。
1,惡意代碼被插入網站自帶文件。
2.網站配置文件
這種後門刪除方法插入到網站自己的代碼中:
首先備份這個文件進行糾錯恢復,找到後門代碼的位置。壹般通過搜索關鍵字“eval,execute,request,ExecuteGlobal”來定位。刪除標識為後門的代碼,保存文件。訪問網站,看看是否有錯誤,並確認是否有任何更正。
網站如何防禦webshell攻擊?
要從根本上解決動態網頁腳本的安全問題,需要配置服務器的FSO權限,以防止註入、防暴、COOKIES欺詐、跨站攻擊等。
1.建議用戶通過ftp上傳和維護網頁,盡量不要安裝上傳程序。
2.對上傳程序的調用必須經過身份驗證,只允許信任的人使用上傳程序。
3.程序管理員的用戶名和密碼要復雜,不能太簡單,要定期更換。
4.從正規網站下載程序,需要修改數據庫名稱和存儲路徑,數據庫名稱要復雜。
5.盡量使程序保持最新。
6.不要在網頁上添加後臺管理程序登錄頁面的鏈接。
7.為了防止程序出現未知漏洞,可以在維護後刪除後臺管理程序的登錄頁面,在下次維護時再上傳。
8.始終備份重要文件,如數據庫。
9、日常維護,並註意空間中是否有未知的asp文件。
10,盡量關閉網站搜索功能,使用外部搜索工具,防止數據爆發。
11.使用白名單上傳文件。禁止上傳不在白名單中的文件,上傳目錄的權限遵循最小權限原則。